我正在开发一个要托管在服务器上的小部件,比如 www.exampleserver.com。
我们的客户会将此 iframe 嵌入到他的网站,例如 www.validclient.com。现在,在嵌入此小部件时,将向客户的客户发送一条短信。
现在我在考虑 Clickjacking By double framing,攻击者可以在 iframe 中嵌入我们的客户端 url。现在小部件服务器发现该请求来自有效的客户端,服务器会发送一条短信。
有效的客户代码:
<html>
// some line of code
<iframe src="www.exampleserver.com" />
// some line of code
</html>
攻击者代码
<html>
// some line of code
<iframe src="www.validclient.com" />
// some line of code
</html>
所以我只希望我的服务器 url 内容在客户端 iframe 上呈现,而不是在攻击者 iframe 上。对于这种安全性,我使用了:
内容安全策略:框架祖先http://www.validclient.com
和
X-Frame-Options:ALLOW-FROM http://www.validclient.com
这很神奇,它在攻击者 iframe 上阻止了我们的 URL。
但这不受 Internet Explorer 和其他一些浏览器的支持。
请告诉我任何其他防止这种攻击的方法,这些方法必须对所有浏览器都是通用的。
提前致谢。希望得到积极的答复。